Password Alert : une extension antiphishing pour Google Chrome

Google prend une nouvelle mesure pour protéger les utilisateurs de ses services en ligne.

Le groupe Internet lance l’extension Password Alert, conçue pour se greffer au navigateur Web Chrome et empêcher la fuite de données confidentielles. Non seulement en contrôlant la saisie des mots de passe, mais aussi en détectant les tentatives de hameçonnage (phishing*).

L’outil présente quelques limites : il ne ne fonctionne ni dans les fenêtres de navigation privée, ni dans les applications et extensions Chrome. Il ne protège pas non plus les mots de passe des services proposés par d’autres fournisseurs que Google et n’est pour l’instant compatible qu’avec le navigateur de la firme.

Le code source est disponible dans un dépôt GitHub. On y entrevoit les deux fonctionnalités principales de Password Alert. La première étant cette détection des sites frauduleux : les fausses pages de connexion Google sont repérées par l’analyse de leur code HTML. L’utilisateur est alors prévenu afin qu’il ne renseigne pas d’informations personnelles.

Password Alert avertit aussi l’internaute s’il exploite son mot de passe Gmail sur un autre service. Il lui est alors recommandé d’en changer, bien qu’il soit possible d’ignorer les alertes et de placer des sites Web en liste blanche.

Fruit de trois années de développement, l’extension n’enregistre aucun mot de passe. Elle en conserve en fait une empreinte numérique (séquence de bits réduite) chiffrée et stockée en local. Celle-ci sert alors d’élément de comparaison lors de la saisie d’un mot de passe sur un site autre que accounts.google.com.

Sur la page d’assistance officielle de Password Alert, il est précisé que les administrateurs Google for Work peuvent déployer l’extension au sein de leurs domaines en configurant une instance Google App Engine pour contrôler les alertes.

* Pour Google, près de 2 % des messages envoyés sur Gmail servent une stratégie de phishing.

Crédit photo : Valeri Potapova – Shutterstock.com